專門的狀態(tài)檢測(cè)防火墻早已成為歷史，現(xiàn)今所有的下一代防火墻都是由狀態(tài)檢測(cè)防火墻演變而來，它消失在歷史的舞臺(tái)，它也無處不在，這就是技術(shù)的迭代更新。寫到這里，讓我想起了來一行禪師與一位小姑娘的對(duì)話。

創(chuàng)新互聯(lián)公司是創(chuàng)新、創(chuàng)意、研發(fā)型一體的綜合型網(wǎng)站建設(shè)公司，自成立以來公司不斷探索創(chuàng)新，始終堅(jiān)持為客戶提供滿意周到的服務(wù)，在本地打下了良好的口碑，在過去的十載時(shí)間我們累計(jì)服務(wù)了上千家以及全國(guó)政企客戶，如發(fā)電機(jī)回收等企業(yè)單位，完善的項(xiàng)目管理流程，嚴(yán)格把控項(xiàng)目進(jìn)度與質(zhì)量監(jiān)控加上過硬的技術(shù)實(shí)力獲得客戶的一致贊譽(yù)。

小姑娘問：我有一只可愛的小狗，有一天它死了，怎樣才能不傷心？

一行禪師回答：你看到天邊美麗的云朵，你好喜歡這朵云，就像喜歡你的小狗一樣，突然這朵云不見了，你以為云死了，云朵去哪兒了？如果你花時(shí)間想想，你會(huì)看到云沒有死，沒有消失，只是化為了雨水，看到雨水，你就會(huì)看到那朵云；當(dāng)你喝茶時(shí)看到熱騰騰的水汽，你也會(huì)看到云，云并沒有消失，它以新的形式活著，小狗也一樣，如果你看的深一點(diǎn)，你就會(huì)看到它的新形體。

當(dāng)我們學(xué)某種技能的時(shí)候，有時(shí)就會(huì)產(chǎn)生一些“火花”，技術(shù)也可以上升至哲學(xué)層面，比如LINUX系統(tǒng)的設(shè)計(jì)就有非常明確的哲學(xué)思想。有時(shí)相近的技術(shù)之間也會(huì)產(chǎn)生一些“火花”，比如以前無論是聽老師說，還是自己看書，其實(shí)對(duì)單臂路由和vlanif的理解都比較淺，但是自己還以為自己是真的懂了，直到最近，在給同學(xué)寫答案講解時(shí)才發(fā)現(xiàn)自己其實(shí)并沒有真正理解，但當(dāng)我仔細(xì)想想的時(shí)候，就突然想通了，認(rèn)為自己明白了并不是真正的明白，只有能說明白，寫明白才是真正的明白，那一瞬間的感覺真是很奇妙，我想這就是很多大神堅(jiān)持寫博客的原因。

好了，言歸正傳，下面我們就正兒八經(jīng)地說說狀態(tài)檢測(cè)防火墻的那些事兒！

狀態(tài)檢測(cè)是防火墻的一個(gè)功能，這個(gè)功能非常重要，它是在防火墻在發(fā)展過程當(dāng)中的里程碑，此后的防火墻都集成了此功能。我們先分析沒有狀態(tài)檢測(cè)功能的防火墻是怎樣工作的，然后再分析有了狀態(tài)檢測(cè)功能的防火墻是怎樣工作的.

沒有狀態(tài)檢測(cè)防火墻的時(shí)期

如上圖所示，PC和WEB服務(wù)器位于不同的網(wǎng)絡(luò)，分別與防火墻相連，PC與WEB服務(wù)器之間的通信受到防火墻的控制。

當(dāng)PC需要訪問WEB服務(wù)器網(wǎng)頁時(shí)，在防火墻上必須配置下表當(dāng)中列出的一條規(guī)則：允許PC訪問訪問WEB服務(wù)器的報(bào)文通過。這里說的規(guī)則其實(shí)就是指防火墻上的安全策略。只不過本節(jié)重點(diǎn)講解狀態(tài)檢測(cè)和會(huì)話機(jī)制，安全策略不是重點(diǎn)，所以通過規(guī)則來簡(jiǎn)化描述。關(guān)于安全策略的內(nèi)容我們將在后面的文章當(dāng)中講解。

編號(hào)	源地址	源端口	目的地址	目的端口	動(dòng)作
1	192.168.0.1	ANY	172.16.0.1	80	允許通過

在這條規(guī)則當(dāng)中，源端口處的ANY表示任意端口，這是因?yàn)镻C在訪問WEB的時(shí)候端口是操作系統(tǒng)隨機(jī)指定的，并不是確定的，所以這里設(shè)定為任意端口。

配置了這條規(guī)則之后，PC發(fā)出的報(bào)文就可以順利的通過防火墻，到達(dá)WEB服務(wù)器，然后WEB服務(wù)器會(huì)向PC發(fā)送回應(yīng)報(bào)文，這個(gè)報(bào)文也要穿過防火墻，在狀態(tài)檢測(cè)防火墻出現(xiàn)之前，包過濾防火墻（包過濾防火墻在監(jiān)制檢測(cè)防火墻之前）還必須配置下表當(dāng)中的規(guī)則，允許反方向的報(bào)文通過防火墻。

編號(hào)	源地址	源端口	目的地址	目的端口	動(dòng)作
2	172.16.0.1	80	192.168.0.1	any	允許通過

在規(guī)則2當(dāng)中，目的端口也沒有設(shè)定為任意端口，因?yàn)槲覀儫o法確定PC訪問WEB到底用的哪個(gè)端口，要想使得WEB服務(wù)器的回應(yīng)報(bào)文順利通過防火墻到達(dá)PC，只能將規(guī)則2當(dāng)中的目的端口設(shè)定為任意端口。

任意端口其實(shí)也就是所有端口，這樣會(huì)有很大的安全隱患，外部的惡意***者偽裝成WEB服務(wù)器，就可以暢通無阻的穿過防火墻，PC將會(huì)面臨嚴(yán)重的安全風(fēng)險(xiǎn)。

我們好好看一下，其實(shí)造成安全隱患的原因就是防火墻不知道PC訪問WEB服務(wù)器的源端口到底是哪個(gè)？為了保證通信，不得以放行了在入方向的任意端口。那么我們可不可以想辦法讓防火墻知道PC訪問WEB服務(wù)器用的到底是哪個(gè)端口，然后讓W(xué)EB服務(wù)器的回應(yīng)包回復(fù)之前自動(dòng)添加規(guī)則放行源IP是PC出方向的目標(biāo)IP，源端口是PC的目的端口，目標(biāo)端口就是PC的源端口。當(dāng)然可以實(shí)現(xiàn)，其實(shí)狀態(tài)監(jiān)測(cè)機(jī)制就是這樣實(shí)現(xiàn)的。那么我們下面再看一看有了狀態(tài)檢測(cè)機(jī)制之后，兩者的訪問過程是怎樣的？

使用狀態(tài)檢測(cè)防火墻之后

還是以上面的網(wǎng)絡(luò)環(huán)境為例，首先還是需要在防火墻設(shè)定規(guī)則1，允許PC訪問WEB服務(wù)器的報(bào)文通過。當(dāng)報(bào)文到達(dá)防火墻之后，防火墻允許報(bào)文通過，同時(shí)還會(huì)針對(duì)PC訪問WEB服務(wù)器的這個(gè)行為建立會(huì)話，會(huì)話當(dāng)中包含PC發(fā)出的報(bào)文信息如地址和端口等。

當(dāng)WEB服務(wù)器回應(yīng)PC的報(bào)文到達(dá)防火墻后，防火墻會(huì)把報(bào)文中的信息與會(huì)話中的信息進(jìn)行比對(duì)。如果發(fā)現(xiàn)報(bào)文當(dāng)中的信息與會(huì)話當(dāng)中的信息相匹配，并且該報(bào)文符合HTTP協(xié)議規(guī)定的規(guī)范，則認(rèn)為這個(gè)報(bào)文屬于PC訪問WEB服務(wù)器行為的后續(xù)回應(yīng)報(bào)文，直接允許這個(gè)報(bào)文通過，如下圖所示：

為了便于說明，在本節(jié)當(dāng)中我們將PC和WEB服務(wù)器與防火墻之間直接相連。實(shí)際環(huán)境當(dāng)中，如果PC、WEB服務(wù)器與防火墻之間跨網(wǎng)絡(luò)相連，則必須要防火墻上配置路由，保證PC和WEB服務(wù)器兩者之間相互路由可達(dá)。即使WEB服務(wù)器回應(yīng)給PC的報(bào)文已經(jīng)匹配了會(huì)話，防火墻也必須存在去往PC的的路由，這樣才能保證回應(yīng)報(bào)文正常發(fā)送到PC。

惡意***即使偽裝成WEB服務(wù)器向PC發(fā)起訪問，由于這類報(bào)文不屬于PC訪問WEB服務(wù)器行為的后續(xù)報(bào)文，防火墻就不會(huì)允許這些報(bào)文通過，這樣即保證了PC可以正常訪問WEB服務(wù)器，也避免了大范圍開放端口帶來的風(fēng)險(xiǎn)。

總結(jié)一下，在狀態(tài)檢測(cè)防火墻出現(xiàn)之前，包過濾防火墻只會(huì)根據(jù)設(shè)定好的靜態(tài)規(guī)則為判斷是否允許報(bào)文通過，它認(rèn)為報(bào)文都是無狀態(tài)的孤立個(gè)體，不關(guān)注報(bào)文產(chǎn)生的前因后果，這就要求包過濾防火墻都必須針對(duì)每一個(gè)方向的報(bào)文都配置一條規(guī)則，轉(zhuǎn)發(fā)效率低而且容易帶來安全風(fēng)險(xiǎn)。

而狀態(tài)檢測(cè)防火墻的出現(xiàn)正好彌補(bǔ)了包過濾防火墻這個(gè)缺陷。狀態(tài)檢測(cè)防火墻使用基于連接狀態(tài)的檢測(cè)機(jī)制，將通信雙方之間交互的屬于同一連接的所有報(bào)文都作為整體的數(shù)據(jù)流來對(duì)待。在狀態(tài)狀態(tài)防火墻看來，同一個(gè)數(shù)據(jù)流內(nèi)的報(bào)文不再是孤立的個(gè)體，而是存在聯(lián)系的。例如，為數(shù)據(jù)流的第一個(gè)報(bào)文建立會(huì)話，數(shù)據(jù)流內(nèi)的后續(xù)報(bào)文就會(huì)直接匹配會(huì)話轉(zhuǎn)發(fā)，不需要再進(jìn)行規(guī)則的檢測(cè)，提高了轉(zhuǎn)發(fā)效率。

包過濾防火墻認(rèn)為數(shù)據(jù)包之間是割裂的個(gè)體，更網(wǎng)絡(luò)更容易受到***。而狀態(tài)監(jiān)測(cè)防火墻認(rèn)為報(bào)文與報(bào)文之間是存在聯(lián)系的，從而尋求數(shù)據(jù)包之間的“合作發(fā)展”，最后實(shí)現(xiàn)高效率、高安全、可持續(xù)發(fā)展，現(xiàn)在也的確是狀態(tài)監(jiān)測(cè)防火墻的天下了，但并不是說包過濾防火墻就不好，它還是有它的“用武之地”的，我們后面再細(xì)說。

在當(dāng)今社會(huì)生活，我們也像防火墻一樣恰當(dāng)?shù)刈非蠛献鳎粦?yīng)該一味追求獨(dú)立，將自己封閉。那么到底是追求是獨(dú)立好？還是追求合作好？這個(gè)問題類似于能力重要還是人脈重要？理想重要還是財(cái)富重要？我們的人生是有時(shí)間概念的，我們只需要把兩者放置到合適的時(shí)間段，比如我們把獨(dú)立放置到比較靠前的時(shí)間段，而把合作放置獨(dú)立的時(shí)間段之后，亦或者獨(dú)立和合作并行也未嘗不可，一個(gè)有心人是可以平衡的很好的。寫到最后，中庸又出現(xiàn)了，我認(rèn)為用中庸去結(jié)尾很合適，因?yàn)楦緵]有絕對(duì)答案，人生也并不是非黑即白，檢測(cè)一流智力的標(biāo)準(zhǔn)就是大腦當(dāng)中同時(shí)存在兩種截然相反的想法，還能維持正常行事的能力，這不是中庸又是什么呢？

老羅英語的LOG當(dāng)中，一個(gè)眼睛代表理想，另一個(gè)眼睛代表財(cái)富，在理想和財(cái)富之間是一個(gè)微笑。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享題目：狀態(tài)檢測(cè)那些事兒-創(chuàng)新互聯(lián)
瀏覽地址：http://weahome.cn/article/dggpcs.html